ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 电子政务网2

电子政务网2

原创 Linux操作系统 作者:justmoo 时间:2011-08-02 21:26:59 0 删除 编辑
电子政务对安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾。在电子政务系统信息畅通的基础上,有效阻止非法访问和攻击对系统的破坏。
  具体到技术层面,除了传统的防病毒防火墙等安全措施以外,电子政务特殊的安全需求主要表现在以下几个方面。
  1.内外网间安全的数据交换
  电子政务应用中势必存在内网与专网、外网间的信息交换需求,然而基于内网数据保密性的考虑,我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛,通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离,从而在内外网间实现安全的数据交换。安全岛是独立于电子政务内、外网的一个特殊的过渡网络,它被置于内网、专网和外网相交的边界位置,一方面将内网与外网物理隔离断开防止外网中黑客利用漏洞等攻击手段进入内网,另一方面又完成数据的中转,在其安全策略的控制下安全地进行内外网间的数据交换。
  隔离网闸(GAP)技术是实现安全岛的关键技术,它如同一个高速开关在内外网间来回切换,同一时刻内外网间没有连接,处于物理隔离状态。在此基础上,隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网,完成数据中转。在中转过程中,隔离网闸会对抽取的数据做应用层的协议检查、内容检测,也会对IP包地址实施过滤控制,由于隔离网闸采用了独特的开关切换机制,因此,在进行这些检查时网络实际上处于断开状态,只有通过严格检查的数据才有可能进入内网,即使黑客强行攻击了隔离网闸,由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。另一方面,由于隔离网闸仅抽取数据交换进内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
  以隔离网闸技术为核心,通过添加VPN通信认证、加密、入侵检测和对数据的病毒扫描,就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛。
  2.网络域的控制
  电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全而言同样十分重要。然而目前绝大部分网络是基于TCP/IPV4网络协议的,它本身不具备这种控制能力。要加强电子政务网络的控制与管理能力,可以采用基于802.1x带网络接入认证功能的交换机来实现。802.1x协议能够对接入设备实现认证,从而控制网络的设备访问,它可以利用第三方的认证系统加强认证的安全强度,如Radius、TACACS以及CA等系统。802.1x协议使得电子政务网络处于中心可管理的状态,从而使得各种网络域管理策略得以实现。
  3.标准可信时间源的获取
  
  时间在电子政务安全应用上具有其特定的重要意义。政务文件上的时间标记是重要的政策执行依据和凭证,政务信息传递过程中的时间标记又是防止网络欺诈行为的重要指标,同时,时间也是政府各部门协同办公的参照物,因此,电子政务系统需要建立全系统可信、统一的时间源,这是保证电子政务系统不致出现混乱的关键因素。建立可信统一的时间源可以通过在标准时间源(如本地天文台、电视台等)上附加数字签名的方法来获得,附加数字签名的目的是防止时间在传输途中被篡改情况的发生。
  4.信息传递过程中的加密
  
  电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转,这些公文的信息往往涉及到机密等级的问题,应予以严格保密。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。基于IPsec的加密方式正被广泛采用,其优点显而易见:IPSEC对应用系统透明且具有极强的安全性,这一点对于要开发庞大应用的电子政务来说,就显得极有好处了,应用系统开发商不必为数据传输过程中的加密做过多的考虑。IPsec有多种应用方式,采用IPsec网关是比较理想的选择,它同时也易于部署和维护。
  5.操作系统的安全性考虑
  
  网络安全的重要基础之一是安全的操作系统,因为所有的政务应用和安全措施(包括防火墙、防病毒、入侵检测等)都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是,我们无法保证国外厂家的操作系统产品不存在后门。在操作系统安全方面,有两点是值得考虑的:一是采用具有自主知识产权且源代码对政府公开的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况,及时发现问题。
  6.数据备份与容灾
  任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

电子政务系统的网络架构

  电子政务网络系统可规划为一个四层的安全控制域,网络安全设计以各域的工作特点为依据进行设计。
  核心层(核心数据存储与处理):是政府信息的集中存储与处理的域,该域必须具有极其严格的安全控制策略,信息必须通过中间处理层才能获得。
  办公业务层(日常办公与事务处理):是政府内部的电子办公环境,该区域内的信息只能在内部流动。
  信息交换层(友邻、上下级部门间):一部分需要各部门交换的信息可以通过专网域进行交换。该区域负责将信息从一个内网传送到另一个内网区域,它不与外网域有任何信息交换。
  公众服务层(电子窗口与信息服务):政府部门公共信息的发布场所,实现政府与公众的互操作。该域与内网和专网物理隔离。
  典型的电子政务网络架构由内网、外网和专网这三部分组成。
  整个电子政务安全环境包括以下部分:基础安全服务设施、网络信任域基础设施、网络安全支撑平台产品和容灾备份系统四部分组成。

系统的整体框架设计

  系统的整体框架设计现在的政府面对的信息资源及应用多种多样,来自有不同的操作系统,不同的开发平台和不同的应用数据库。基于Portal 平台的政府信息集成框架,试图以最小的代价在企业应用系统的构架层次上,为政府提供了一个跨越多种分散的、内部和外部的信息处理过程的集成纽带,把这些信息整合到一起。它是基于J2EE 的三层B/S 结构,包括门户、信息集成接入层、应用层、数据存储接口层。框架:①应用层是指政府已经存在的所有信息资源,包括政府内部或外部的各种应用系统,还包括来自不同系统的结构化或非结构化数据,它们都是政府信息集成平台需要整合的对象。②信息集成接入层为政府信息集成平台实现资源整合提供底层构件库,包括本地和远程应用集成构件,为实现不同类型的信息集成提供底层支持。同时提供对所有信息资源的统一管理、统一授权,实现对信息的统一访问。③展示层是信息集成平台中把经过整合的信息资源展现给用户的最外层,它只关注如何展现信息,统一的视图管理使用户可以设定各自的个性化输出,用户只需单点登陆到政府门户就可以得到所关注的信息。在这个框架中,政府所有的信息应用都作为后端应用层,信息集成接入层中的集成构件根据后端应用层传入的信息资源类型,通过资源定义和分配、建立不同系统间的用户口令转换的对应关系,采用不同的集成构件分别进行处理,传递给前端的展示层,由政府门户统一展示给用户

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/11023821/viewspace-703863/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 电子政务网
下一篇: 没有了~
请登录后发表评论 登录
全部评论

注册时间:2010-03-18

  • 博文量
    4
  • 访问量
    3010